Zertifikatsvalidierung

Welche HTTP-Sicherheitsheader brauche ich – und wie setze ich CSP, HSTS, X-Frame-Options & Co. korrekt?

Wer Webanwendungen betreibt, muss nicht nur Code absichern, sondern auch das Verhalten des Browsers steuern. HTTP-Sicherheitsheader greifen genau hier ein: Sie definieren, welche Inhalte geladen werden dürfen, ob Verbindungen zwangsweise über TLS laufen, ob eine Seite in Frames eingebettet werden darf oder wie der Browser mit sensiblen Metadaten umgeht. In der Praxis entstehen viele Sicherheitslücken oder Betriebsprobleme nicht durch fehlende Header, sondern durch unpräzise Direktiven, widersprüchliche Kombinationen oder Annahmen über Browser-Verhalten, die in modernen Engines nicht mehr gelten. Administratoren, Entwickler und Security-Verantwortliche stehen daher häufig vor der konkreten Frage, welche Header in welcher Form gesetzt werden sollten, wie sich einzelne Direktiven auf typische Web-Patterns (Single-Page-Apps, CDN-Assets, OAuth-Redirects, Embedded Content) auswirken und welche Fehlkonfigurationen zu Blockaden, Downgrades oder Scheinsicherheit führen.

Welche HTTP-Sicherheitsheader brauche ich – und wie setze ich CSP, HSTS, X-Frame-Options & Co. korrekt? Weiterlesen »

blank

Welche TLS-Versionen und Cipher Suites sollte ich heute auf dem Webserver erlauben?

Wer TLS auf einem Webserver betreibt, entscheidet mit wenigen Parametern über reale Sicherheits- und Kompatibilitätseigenschaften: Welche Protokollversionen sind aktiviert, welche Cipher Suites werden angeboten, welche Schlüsselaustausch- und Signaturalgorithmen sind möglich, und welche Hash- bzw. AEAD-Verfahren kommen tatsächlich zum Einsatz. In der Praxis entstehen daraus typische Zielkonflikte: Ältere Clients benötigen oft TLS 1.0/1.1 oder RSA-Key-Exchange, während moderne Browser und Security-Scanner diese Kombinationen als unsicher einstufen oder aktiv blockieren.

Welche TLS-Versionen und Cipher Suites sollte ich heute auf dem Webserver erlauben? Weiterlesen »

blank

Welche Browser-Sicherheitswarnung sehe ich gerade – und was bedeutet sie technisch?

Browser brechen Verbindungen ab oder blenden Warnseiten ein, wenn sie Anzeichen für eine unsichere oder manipulierte HTTPS-Kommunikation erkennen. Hinter Meldungen wie Zertifikatsfehlern, blockiertem Mixed Content oder HSTS-Fehlern stehen konkrete Prüfungen im TLS-Handshake, in der Zertifikatskette, in der Hostname-Validierung und in Browser-Sicherheitsrichtlinien. In der Praxis führt das bei Betrieb, Incident-Analyse oder Rollouts regelmäßig zu Rückfragen.

Welche Browser-Sicherheitswarnung sehe ich gerade – und was bedeutet sie technisch? Weiterlesen »

Nach oben scrollen